10.4. 使用访问控制列表创建负载均衡器
您可以创建一个访问控制列表(ACL),将进入监听程序的流量限制为一组允许的源 IP 地址。任何其它传入的流量都会被拒绝。最好还要创建一个运行状况监视器,以确保您的后端成员仍然可用。
先决条件
- 可以从互联网访问的共享外部(public)子网。
流程
提供您的凭据文件。
示例
$ source ~/overcloudrc
在公共子网(
public_subnet
)上创建一个负载平衡器(lb1
)。注意括号中的值是此流程中的示例命令中使用的示例值。使用适合您的站点的值替换这些示例值。
示例
$ openstack loadbalancer create --name lb1 --vip-subnet-id public_subnet --wait
使用允许的 CIDR (
192.0.2.0/24
和198.51.100.0/24
)创建监听器(listener1
)。示例
$ openstack loadbalancer listener create --name listener1 --protocol TCP --protocol-port 80 --allowed-cidr 192.0.2.0/24 --allowed-cidr 198.51.100.0/24 lb1
创建侦听器默认池(
pool1
)。示例
在本例中,会创建一个池,它使用专用子网,其中包含在 TCP 端口 80 上配置了自定义应用程序的后端服务器:
$ openstack loadbalancer pool create --name pool1 --lb-algorithm ROUND_ROBIN --listener listener1 --protocol TCP
在连接后端服务器的池上创建运行状况监控器,并测试路径(
/
)。建议使用健康检查,但不是必需的。如果没有定义运行状况监控器,则假定成员服务器为
ONLINE
。示例
$ openstack loadbalancer healthmonitor create --name healthmon1 \ --delay 15 --max-retries 4 --timeout 10 --type HTTP --url-path / pool1
在专用子网(
private_subnet
)上添加负载均衡器成员(192.0.2.10
和192.0.2.11
)到默认的池。示例
在本例中,后端服务器
192.0.2.10
和192.0.2.11
分别命名为member1
和member2
:$ openstack loadbalancer member create --subnet-id private_subnet --address 192.0.2.10 --protocol-port 80 pool1 $ openstack loadbalancer member create --subnet-id private_subnet --address 192.0.2.11 --protocol-port 80 pool1
验证
查看并验证监听器(
listener1
)设置。示例
$ openstack loadbalancer listener show listener1
输出示例
+-----------------------------+--------------------------------------+ | Field | Value | +-----------------------------+--------------------------------------+ | admin_state_up | True | | connection_limit | -1 | | created_at | 2022-01-15T11:11:09 | | default_pool_id | None | | default_tls_container_ref | None | | description | | | id | d26ba156-03c3-4051-86e8-f8997a202d8e | | insert_headers | None | | l7policies | | | loadbalancers | 2281487a-54b9-4c2a-8d95-37262ec679d6 | | name | listener1 | | operating_status | ONLINE | | project_id | 308ca9f600064f2a8b3be2d57227ef8f | | protocol | TCP | | protocol_port | 80 | | provisioning_status | ACTIVE | | sni_container_refs | [] | | timeout_client_data | 50000 | | timeout_member_connect | 5000 | | timeout_member_data | 50000 | | timeout_tcp_inspect | 0 | | updated_at | 2022-01-15T11:12:42 | | client_ca_tls_container_ref | None | | client_authentication | NONE | | client_crl_container_ref | None | | allowed_cidrs | 192.0.2.0/24 | | | 198.51.100.0/24 | +-----------------------------+--------------------------------------+
在本例中,参数
allowed_cidrs
设置为只允许来自 192.0.2.0/24 和 198.51.100.0/24 的流量。要验证负载均衡器是否安全,请确保从 CIDR 不在
allowed_cidrs
列表中的客户端向监听程序的请求;请求不会成功。输出示例
curl: (7) Failed to connect to 203.0.113.226 port 80: Connection timed out curl: (7) Failed to connect to 203.0.113.226 port 80: Connection timed out curl: (7) Failed to connect to 203.0.113.226 port 80: Connection timed out curl: (7) Failed to connect to 203.0.113.226 port 80: Connection timed out
其他资源
- 命令行界面参考中的 LoadBalancer